cyberattacks

GoatRAT Menyerang Sistem Pembayaran Otomatis

April 3, 2023 by Flamango

Baru-baru ini, para peneliti dari K7Security Labs menemukan deteksi dalam laporan telemetri “com.goatmw” yang menarik perhatian mereka, dan memutuskan untuk menyelidiki lebih lanjut. Malware tersebut ditemukan sebagai trojan perbankan.

Trojan perbankan GoatRAT adalah Alat Administrasi Jarak Jauh Android untuk mendapatkan akses dan mengontrol perangkat yang ditargetkan yang melakukan transaksi uang palsu menggunakan kunci PIX. Domain goatrat[.]com berfungsi sebagai panel admin dan berisi id telegram di kontaknya.

RAT kemudian meminta pengguna untuk memberikan izin aksesibilitas dan overlay, memungkinkan untuk menampilkan layar overlay pada aplikasi perbankan yang ditargetkan, membuatnya terlihat seperti layar aplikasi yang sah sehingga pengguna memasukkan kredensial yang valid tanpa curiga, untuk melakukan transfer uang penipuan.

Saat aplikasi yang ditargetkan dibuka, malware menampilkan jendela overlay yang muncul di atas aplikasi perbankan yang sah. Layar overlay akan mendapatkan semua kredensial valid, mengirimkannya ke C2, dan memulai transfer uang berdasarkan saldo bank yang tersedia di akun pengguna.

Trojan Perbankan Android meningkat pesat. Pembuat malware menemukan teknik baru untuk mencuri uang dari pengguna. Salah satu teknik tersebut terlihat mengeksploitasi platform pembayaran instan PIX yang menargetkan bank Brasil.

GoatRAT menggunakan kerangka Sistem Transfer Otomatis (ATS) untuk melakukan transaksi uang palsu. ATS adalah teknik baru yang digunakan oleh malware perbankan di mana setelah pengguna masuk ke aplikasi perbankan dan memasukkan kredensial mereka, malware akan mengambil kendali dan secara otomatis memasukkan jumlah dan memulai transaksi tanpa sepengetahuan pengguna.

Pengguna diminta untuk menginstal produk keamanan terkemuka seperti “K7 Mobile Security” dan terus memperbaruinya agar tetap aman dari ancaman tersebut.

Selengkapnya: K7 Security Labs

Wiz: Lupakan ChatGPT, Alat Keamanan yang Paling Overhyped adalah Teknologi itu sendiri

March 3, 2023 by Flamango

Meminta tim keamanan atau anggaran yang lebih besar untuk membeli teknologi guna melindungi dari serangan dunia maya merupakan hal sulit dalam ekonomi.

Merupakan tantangan yang sangat serius bagi infosec karena infeksi ransomware dan pelanggaran keamanan data menjadi lebih sering dan permukaan serangan organisasi menjadi lebih besar.

Startup keamanan cloud berusia tiga tahun, didirikan oleh mantan Microsoft Assaf Rappaport, awal pekan ini mengumumkan putaran pendanaan $300 juta dengan valuasi $10 miliar. Menjadikan Wiz sebagai unicorn keamanan siber terbesar di dunia dan perusahaan SaaS tercepat yang mencapai valuasi $10 miliar, menurut Rappaport.

Rappaport melihat potensi kedepan, tantangan terbesar yang dihadapi tim keamanan adalah mencari cara untuk menjadi lebih efisien.

Dari perspektif vendor teknologi, Rappaport memikirkan pengguna produk yang sedang dikembangkan. Sementara Herzberg mengatakan dengan lebih terbuka bahwa teknologi, secara umum terlalu dilebih-lebihkan jika dikaitkan dengan kesuksesan dengan keamanan, karena pada akhirnya ini bukan tentang alat yang di beli, namun tentang proses dan rakyat.

Organisasi yang beralih ke cloud dan beralih ke lingkungan TI yang terdesentralisasi memerlukan tim keamanan untuk beradaptasi dan mengubah proses ini. Pindah ke lingkungan cloud berarti pengembang dapat bergerak lebih cepat, tetapi juga membutuhkan keamanan untuk mengikutinya, kata Herzberg.

Keamanan masih belum menyelesaikan masalah keanekaragamannya. Bagian dari solusinya adalah melihat melampaui kumpulan aplikasi biasa. Perusahaan perlu mengeksplorasi lebih jauh di luar kumpulan biasa dan menemukan bakat baru. Seperti kebingungan Raaz Herzberg, VP strategi produk Wiz tentang sedikitnya wanita dalam keamanan siber.

Selengkapnya: The Register

IDE pemrograman online yang dapat digunakan untuk meluncurkan serangan siber jarak jauh

July 8, 2022 by Eevee

Peneliti keamanan memperingatkan bahwa peretas dapat menyalahgunakan platform pembelajaran pemrograman online untuk meluncurkan serangan siber dari jarak jauh, mencuri data, dan memindai perangkat yang rentan, hanya dengan menggunakan browser web.

Setidaknya satu platform tersebut, yang dikenal sebagai DataCamp, memungkinkan pelaku ancaman untuk mengkompilasi alat berbahaya, menghosting atau mendistribusikan malware, dan terhubung ke layanan eksternal.

DataCamp menyediakan lingkungan pengembangan terintegrasi (IDE) untuk hampir 10 juta pengguna yang ingin mempelajari ilmu data menggunakan berbagai bahasa dan teknologi pemrograman (R, Python, Shell, Excel, Git, SQL).

Sebagai bagian dari platform, pengguna DataCamp mendapatkan akses ke ruang kerja pribadi mereka sendiri yang mencakup IDE untuk berlatih dan mengeksekusi kode kustom, mengunggah file, dan menghubungkan ke database.

IDE juga memungkinkan pengguna untuk mengimpor perpustakaan Python, mengunduh dan mengkompilasi repositori, dan kemudian menjalankan program yang dikompilasi. Dengan kata lain, apa pun yang dibutuhkan oleh aktor ancaman yang rajin untuk meluncurkan serangan jarak jauh langsung dari dalam platform DataCamp.

Setelah menanggapi insiden di mana aktor ancaman mungkin menggunakan sumber daya DataCamp untuk menyembunyikan asal serangan, para peneliti di perusahaan keamanan siber Profero memutuskan untuk menyelidiki skenario ini.

Mereka menemukan bahwa Python IDE online lanjutan DataCamp menawarkan kepada pengguna kemampuan untuk menginstal modul pihak ketiga yang memungkinkan koneksi ke bucket penyimpanan Amazon S3.

Omri Segev Moyal, CEO di Profero, mengatakan dalam sebuah laporan yang dibagikan dengan BleepingComputer bahwa mereka mencoba skenario ini pada platform DataCamp dan dapat mengakses bucket S3 dan mengekstrak semua file ke lingkungan ruang kerja di situs web platform.

Importing files from S3 bucket through DataCamp – source: Profero

Peneliti mengatakan bahwa aktivitas yang berasal dari DataCamp kemungkinan akan lewat tanpa terdeteksi dan “bahkan mereka yang memeriksa koneksi lebih lanjut akan menemui jalan buntu karena tidak ada sumber pasti yang diketahui yang mencantumkan rentang IP Datacamp.”

Penyelidikan terhadap skenario serangan ini berjalan lebih jauh dan para peneliti mencoba mengimpor atau menginstal alat yang biasanya digunakan dalam serangan siber, seperti alat pemetaan jaringan Nmap.

Tidak mungkin untuk menginstal Nmap secara langsung tetapi DataCamp mengizinkan kompilasi dan mengeksekusi biner dari direktori kompilasi.

Nmap berjalan di DataCamp – sumber: Profero

Tim Tanggap Insiden Profero juga menguji apakah mereka dapat mengunggah file menggunakan terminal dan mendapatkan tautan untuk membagikannya. Mereka dapat mengunggah EICAR – file standar untuk menguji deteksi dari solusi antivirus, dan mendapatkan tautan untuk mendistribusikannya.

File EICAR diunggah ke DataCamp – sumber: Profero

Laporan Profero hari ini mencatat bahwa tautan unduhan dapat digunakan untuk mengunduh malware tambahan ke sistem yang terinfeksi dengan menggunakan permintaan web sederhana.

Selain itu, tautan unduhan ini dapat disalahgunakan dalam jenis serangan lain, seperti hosting malware untuk serangan phishing, atau oleh malware untuk mengunduh muatan tambahan.

DataCamp menyatakan dalam Ketentuan Layanan mereka bahwa menyalahgunakan platform dilarang tetapi pelaku ancaman bukanlah pengguna untuk menghormati aturan.

DataCamp mengatakan bahwa mereka “telah mengambil langkah-langkah yang wajar” untuk mencegah penyalahgunaan berdampak pada pengguna lain di platform dan bahwa mereka memantau sistem mereka untuk perilaku buruk.

Meskipun Profero tidak memperluas penelitian mereka ke platform pembelajaran lain, para peneliti percaya bahwa DataCamp bukan satu-satunya yang dapat disalahgunakan oleh peretas.

Platform lain yang menyediakan terminal adalah Binder, sebuah proyek yang berjalan pada infrastruktur terbuka yang dikelola oleh sukarelawan. Layanan ini membuat repositori yang dihosting di infrastruktur lain (GitHub, GitLab) tersedia bagi pengguna melalui browser mereka.

Perwakilan Binder mengatakan bahwa mereka bersedia untuk menambahkan lebih banyak perlindungan dalam kode sumber BinderHub jika laporan Profero menunjukkan bahwa langkah lebih lanjut diperlukan.

Profero mendorong penyedia platform pembelajaran kode online untuk menyimpan daftar gerbang lalu lintas pelanggan keluar dan membuatnya dapat diakses publik sehingga pembela dapat menemukan asal serangan, jika memang demikian.

Sumber: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

cyberattacks

Cookies Settings